Attribute

Download: Attributspezifikation Version 1.0 (letzte Änderung am 31.07.2013)

Die für bwIDM verwendeten Attribute leiten sich von den Spezifikationen der DFN-AAI ab. Die Heimatorganisationen (Identity Provider, kurz IdP) liefern diese Attribute gemäß dem hier notierterten Standard via bwIDM-Infrastruktur an die Dienstanbieter in der Föderation (Service Provider, kurz SP) aus. Dabei wird zwischen dem Kernsatz der Attribute, die jede Heimatorganisation ausliefern können muss, und den optionalen Attributen unterschieden, die jeweils nur manche Landesdienste anfordern und so bei Bedarf ausgeliefert werden können sollten.

1. Kernsatz

• eduPersonPrincipalName
• mail
• givenName
• sn
• eduPersonScopedAffiliation
• eduPersonEntitlement
• bwidmOrgId
• uid

2. Optionale Attribute

• o
• bwidmCC
• bwidmMemberOf
• bwCardNumber
• bwCardUid
• bwCardEscn
• bwCardValidTo

3. Sonstige Attribute

• IdPPersistentNameIdentifier

Kernsatz

Principal Name

• Name: eduPersonPrincipalName
• Beschreibung: Ein Identifikator für eine Person mit Scope. Er wird mit user@scope repräsentiert, wobei „user“ ein namensbasierter Identifikator für eine Person und „scope“ die Domain (meist DNS registriert) beschreibt. Jeder Wert von „scope“ definiert einen Namensraum, innerhalb dessen der Identifikator eindeutig sein muss.
• Vokabular: –
• Verwendung: Der eduPersonPrincipalName wird als weltweit eindeutiger Loginname benutzt. Zudem wird er oft (intern) in Anwendungen verwendet, wenn der Benutzer eindeutig identifiziert werden soll und ein Pseudonym hierfür nicht genügt.
• Referenz: eduPerson
• OID: 1.3.6.1.4.1.5923.1.1.1.6
• LDAP Syntax: DirectoryString
• Werteanzahl: einer
• Beispiel: eduPersonPrincipalName: frank poole ∂does-not-exist.uni-konstanz de
• Notizen: Im Gegensatz zum Attribut „mail“ muss es sich nicht um eine funktionierende und dieser Person zugeordnete Mail-Adresse handeln, auch wenn diese vom Syntax gleich ist.

E-Mail-Adresse

• Name: mail
• Beschreibung: Beinhaltet die E-Mail Adresse der Person. Bevorzugte Adresse für das „To:“-Feld einer E-Mail die an diese Person gesendet werden soll.
• Vokabular: –
• Verwendung: Kontaktierung des Benutzers, eindeutige ID zur Personalisierung
• Referenz: inetOrgPerson, RFC 2821
• OID: 0.9.2342.19200300.100.1.3
• LDAP Syntax: IA5String (256)
• Werteanzahl: mehrere (Empfehlung: einer)
• Beispiel: mail: dave bowman ∂does-not-exist.uni-ulm de
• Notizen: Der „mail“ Attributtyp beinhaltet die Internet Mail Adresse in Mailbox Form (RFC822, RFC2821). Sollte eine Person mehrere Mail-Adressen besitzen, wird empfohlen nur eine E-Mail Adresse zu ubermitteln. Hierbei sollte die E-Mail Adresse verwendet werden, die auch von der Heimatorganisation verwendet wird, um den Benutzer zu erreichen.

Vorname

• Name: givenName
• Beschreibung: Der Vorname einer Person
• Vokabular: –
• Verwendung: Ansprache des Benutzers. Wird üblicherweise in Kombination mit „surname“ verwendet.
• Referenz: inetOrgPerson , definiert in RFC4519 , eduPerson
• OID: 2.5.4.42
• LDAP Syntax: DirectoryString
• Werteanzahl: 1
• Beispiel: givenName: Dave
• Notizen: Das „givenName“ Attribut beinhaltet nach RFC4519 den Teil des Namens einer Person, der nicht der Nachname ist. Innerhalb der bwIDM Föeration müssen Heimatorganisationen genau einen einzelnen Wert für dieses Attribut liefern. Es sollte der Vorname geliefert werden, der für offizielle Kommunikation mit der Person verwendet wird.

Nachname

• Name: surname (sn)
• Beschreibung: Nachname, Familienname der Person
• Vokabular: –
• Verwendung: Ansprache des Benutzers. Wird üblicherweise in Kombination mit „givenName“ verwendet.
• Referenz: inetOrgPerson , RFC4519 , eduPerson
• OID: 2.5.4.4
• LDAP Syntax: DirectoryString
• Werteanzahl: einer
• Beispiel: surname: Bowman
• Notizen: Dies ist das X.500-Attribut, das den Familiennamen einer Person beinhaltet (RFC2256). Innerhalb von bwIDM müssen Heimatorganisationen nur einen einzelnen Wert für dieses Attribut liefern. Es sollte der Nachname geliefert werden, der für die offizielle Kommunikation mit der Person verwendet wird.

Zugehörigkeit

• Name: eduPersonScopedAffiliation
• Beschreibung: Der Wert besteht aus einem linken und einem rechten Teil getrennt durch ein „@“ Zeichen. Der linke Teil spezifiziert eine Zugehörigkeit zu einer weitgefassten Kategorie wie z.B. Student, Alumni … Er beinhaltet einen Wert aus dem unten definierten Vokabular. Der rechte Teil definiert die Organisationseinheit innerhalb der die Person der Kategorie zugehört. Diese entspricht den in der „eppn“ auf der rechten Seite verwendeten Werten.
• Vokabular: faculty (Mitglied des Lehrkörpers), student (Studierende), staff (Mitarbeiter, die nicht zum Lehrkörper gehören), employee (faculty, staff und sonstige Angestellte), alum (Alumni), member (faculty, staff, student), affiliate (Partner der Organisation wie Gasthörer, Gastdozenten, Dienstleister), library-walk-in (Mitarbeiter, die sich (physikalisch) in der Bibliothek befinden)
  Das Attribut bleibt leer, sollte keine der Kategorien auf die Person zutreffen.
• Verwendung: Festlegung von Berechtigungen anhand des Status des Benutzers.
• Referenz: eduPerson
• OID: 1.3.6.1.4.1.5923.1.1.1.9
• LDAP Syntax: DirectoryString
• Werteanzahl: mehrere
• Beispiel: eduPersonScopedAffiliation: student ∂does-not-exist.kit edu;member@uni-ulm.de
• Notizen: Ein Wert von ”x@y“ wird als Zusicherung verstanden, das die Person die Zugehörigkeit „x“ zur Organisation (security domain) „y“ hat. So ist eine Person mit dem Wert „student ∂does-not-exist.kit edu“ ein Student am KIT. Das Attribut wird von einigen Anbietern verwendet, um den Zugriff auf lizenzpflichtige Inhalte zu kontrollieren. Einige Anbieter planen, das Attribut zu verwenden, um je nach Benutzergruppe unterschiedliche Funktionalität anzubieten. Ermöglicht eine Einschränkung der Wahrscheinlichkeit leichtfertiger Nutzung teurer Ressourcen.

Berechtigung

• Name: eduPersonEntitlement
• Beschreibung: URI (entweder URL oder URN), der Berechtigungen der Person für spezielle Ressourcen anzeigt.
• Vokabular: nur URIs (URL oder URN)
• Verwendung: Das Attribut wird in vielen Anwendungen verwendet, um Benutzern spezielle Rechte zuzuweisen oder den Zugriff auf die Anwendung auf ausgewählte Benutzer zu beschränken.
• Referenz: eduPerson, RFC4512
• OID: 1.3.6.1.4.1.5923.1.1.1.7
• LDAP Syntax: DirectoryString
• Werteanzahl: mehrere
• Beispiel: eduPersonEntitlement: urn:mace:dir:entitlement:common-lib-terms;http://sp.de/aai/resources/bib12
• Notizen: Das Attribut bezieht sich auf die Berechtigung, auf eine bestimmte Ressource zuzugreifen. Generelles Attribut zur Spezifikation der Berechtigungen einer Person. Die Heimateinrichtung vergibt z.B. in Abhängigkeit eines Vertrages mit einem Anbieter Werte für dieses Attribut an ausgewählte Personen (Studenten oder Mitarbeiter oder eine Auswahl von Mitarbeitern), die sich darüber autorisieren. Die Bedeutung der Attributwerte muss entweder auf Föderationsebene oder föderationsübergreifend festgelegt oder direkt zwischen Anbietern und Teilnehmern abgesprochen werden!

Organisationskürzel

• Name: http://bwidm.de/bwidmOrgId
• Beschreibung: Ein eindeutiges zweistelliges Kürzel für die Organisation.
• Vokabular: zweistellig, [a-z], alle vergebenen Kürzel
• Verwendung: Wird zur eindeutigen Identifikation der Organisation, als Ersatz für den Domainnamen, verwendet.
• Referenz: Belegung
• Werteanzahl: einer
• Beispiel: http://bwidm.de/bwidmOrgId: ul
• Notizen: Das Organisationskürzel wird jeder Organisation, die der bwIDM-Föderation beitritt, einmalig zugewiesen. Danach wird sie als statisches Attribut ausgeliefert. Das Organisationskürzel ist innerhalb der bwIDM-Föderation ein eindeutiger Identifikator für die Organisation der Person.

Benutzer ID

• Name: uid
• Beschreibung: Login-ID
• Vokabular: –
• Verwendung: veraltet (wenn möglich sollte als eindeutige Login-ID der Principal Name verwendet werden)
• Referenz: inetOrgPerson, RFC4519
• OID: 0.9.2342.19200300.100.1.1
• LDAP Syntax: DirectoryString
• Werteanzahl: einer
• Beispiel: uid: abc234
• Notizen: Spezifiziert einen Login Namen für ein System. Muss innerhalb der Organisation eindeutig sein. Innerhalb von bwIDM dürfen Heimatorganisationen nur einen einzelnen Wert für dieses Attribut liefern.

Optionale Attribute

Folgende Attribute kann ein IdP zusätzlich ausliefern. Die Auslieferbarkeit dieser Attribute ist für einen IdP jedoch keine Voraussetzung zur Teilnahme in der Föderation.

Organisationsname

• Name: organizationName (o)
• Beschreibung: Name der Organisation bzw. Institution, der eine Person angehört.
• Vokabular: –
• Verwendung: Als Anzeigename der Organisation einer Person.
• Referenz: inetOrgPerson, RFC4519
• OID: 2.5.4.10
• LDAP Syntax: DirectoryString
• Werteanzahl: einer
• Beispiel: o: Eberhard Karls Universität Tübingen
• Notizen: Innerhalb der bwIDM Föeration dürfen Heimatorganisationen nur einen einzelnen Wert für dieses Attribut liefern. Das „organizationName“ Attribut enthält als Freitext den Namen der Organisation einer Person, keine Untereinheit davon.

Ordnungskriterium

• Name: http://bwidm.de/bwidmCC
• Beschreibung: Ein Ordnungskriterium („ClassificationCriterion“) einer Person innerhalb ihrer Heimatorganisation.
• Vokabular: –
• Verwendung: Wird zur Einteilung von Benutzern in eine Untergruppe ihrer Heimatorganisation verwendet.
• Werteanzahl: einer
• Beispiel: http://bwidm.de/bwidmCC: UFR-003111
• Notizen: Jede Heimatorganisation definiert ihre eigenen Verwaltungsattribute, beispielsweise anhand von Kostenstellen, Abteilungen oder Instituten, usw. Das Ordnungskriterium ist innerhalb der bwIDM-Föderation ein eindeutiges Ordnungskriterium innerhalb der Organisation der Person.

Gruppenzugehörigkeit

• Name: http://bwidm.de/bwidmMemberOf
• Beschreibung: Gibt die Zugehörigkeit einer Person zu Gruppen innerhalb ihrer Heimatorganisation an.
• Vokabular: –
• Verwendung: Wird zur Einteilung von Benutzern in Untergruppen ihrer Heimatorganisation verwendet.
• Werteanzahl: mehrere
• Beispiel: http://bwidm.de/bwidmMemberOf: KIT-staff-active-idm;SCC-users-idm;SCC-Staff-IDM;SCC-Mitarbeiter;SCC-Alle
• Notizen: Das Gruppenzugehörigkeit-Attribut enthält als Freitext den/die Namen der Gruppen einer Person innerhalb ihrer Heimateinrichtung. Jede Heimatorganisation definiert selbst die eigenen Gruppen und deren Namen. Der übertragene String SOLLTE hierbei jeweils nur die nach POSIX für Gruppennamen erlaubten Zeichen enthalten. Vgl. hierzu IEEE Std 1003.1 Abschnitt 3.189 und Abschnitt 3.276

bwCardNumber

• Name: bwCardNumber
• OID: 1.3.6.1.4.1.57378.1.1
• Beschreibung: Kartennummer einer Karte der bwCard-Föderation. Die Kartennummer kann vom Standort selbst vergeben werden und ist innerhalb des Standorts karteneindeutig. Wird das Attribut bwCardNumber belegt, so muss auch das Attribut bwCardUid belegt sein.
• Vokabular: –
• Verwendung: Attribut zum Identifizieren einer Karte. Es wird bei Ungültigkeit der Karte nicht übermittelt. Gründe der Ungültigkeit können sein: Sperren der Karte (*bspw. wegen Verlust*), Ende der Gültigkeit.
• Werteanzahl: einer
• Wertebereich: <sHO>:<Wert>
  <sHO> ist der Wert des Attributs schacHomeOrganization.
  <Wert> kann von jeder Einrichtung frei vergeben werden.
• Beispiel: bwCardNumber: uni-tuebingen.de:12345678
• Anmerkung: Da die Einrichtungen in der Vergabe der Werte frei sind, können Kollisionen nicht ausgeschlossen werden. Diese werden durch die Verwendung des <sHO>-Präfix vermieden.
• Notizen: Die cardNumber ist einer von vier Felder der Karten App der bwCard Föderation neben schacHomeOrganisation, European Student Card Identifier (ESCI) und der Seriennummer(UID) der Karte. Weitere Information unter www.bwcard.de.

bwCardUid

• Name:  bwCardUid
• OID:  1.3.6.1.4.1.57378.1.2
• Beschreibung: Die Seriennummer (UID), die vom Kartenchiphersteller (NXP) auf einen Kartenchip (Mifare, DESFire) aufgebracht wurde. Die UID ist karteneindeutig. Das Übermitteln der bwCardUid soll keine Aussage über die Gültigkeit einer Karte treffen. Wird das Attribut bwCardUid belegt, so muss auch das Attribut bwCardNumber belegt sein.
• Vokabular: –
• Verwendung: Attribut zum Identifizieren einer Karte
• Werteanzahl: einer
• Wertebereich: <Chipseriennummer nach PCSC Standard>
• Beispiel: bwCardUid: 0453414ACA5B80
• Anmerkung: Da die Chipseriennummer herstellereindeutig ist und die Hersteller ihrerseits Präfixe innerhalb der Seriennummern benutzen, ist kein weiteres Präfix notwendig.

bwCardEscn (European student card number)

• Name:  bwCardEscn
• OID:  1.3.6.1.4.1.57378.1.3
• Beschreibung: „European student card number (ESCN)“ einer Karte der bwCard-Föderation. Die ESCN wird vom Standort jeweils gemäß der Vorgaben für die European Student Card (ESC - https://www.europeanstudentcard.eu) generiert.
• Vokabular: –
• Verwendung: Attribut zum Identifizieren einer Karte im ESC Umfeld. Es wird zur Registrierung der Karte am ESC Router und zur Prüfung der Validität der Karte am selbigen verwendet.
• Werteanzahl: einer
• Wertebereich: UUID gemäß Algorithmus im RFC-4122, wobei die letzten 9 Zeichen der EU Teilnehmercode (PIC - https://ec.europa.eu/info/funding-tenders/opportunities/portal/screen/how-to-participate/participant-register-search) der Einrichtung darstellen.
• Beispiel: bwCardEscn: e6480dc0-9fba-1035-a6bd-001932465463
• Anmerkung: Die ESCN ist eindeutig im ESC Nummernraum. Anhand der letzten 9 Zeichen lässt sich die Herkunft der ESCN bestimmen. Die ESCN ist eines von vier Feldern der Karten App der bwCard Föderation neben schacHomeOrganisation, bwCardNumber und der Seriennummer(UID) der Karte. Des Weiteren ist die ESCN Teil der URL, die als Barcode auf die ESC gedruckt wird und anhand der die Validität der Karte geprüft werden kann. Weitere Information unter www.bwcard.de.

bwCardValidTo (maximale Gültigkeit)

• Name:  bwCardValidTo
• OID:  1.3.6.1.4.1.57378.1.4
• Beschreibung:  maximale Gültigkeit der bwCard
• Vokabular: –
• Verwendung: Attribut zur Ermittlung der maximalen Gültigkeit der Karte
• Werteanzahl: einer
• Wertebereich: YYYY-MM-DD, internationales Datumsformat gemäß ISO 8601.
• Beispiel: 2022-05-11
• Anmerkung: Die Gültigkeit endet mit Ablauf des Datums in der jeweiligen Zeitzone des Standorts. Notizen: Der Eintrag ist als maximale Gültigkeit zu betrachten. Bei Verlust oder Defekt der Karte sowie bedingt durch andere Gründe kann diese vorzeitig gesperrt werden. Daher sollte die bwCard vor dem Einsatz immer auf Validität geprüft werden. Karten nach Ablauf der Gültigkeit können nicht mehr aktiviert werden.

Sonstige Attribute

Persistent ID

• Name: IdPPersistentNameIdentifier (persistent-id)
• Beschreibung: Die persistente ID ist ein anonymer, persistenter Identifier für eine Person. Die ID wird beim ersten Zugriff einer Person auf einen Service vom Identity Provider generiert und gespeichert. Bei weiteren Zugriffen der Person auf den Service wird die persistent ID wieder bereitgestellt.
• Verwendung: Verwendung Die persistent ID eignet sich dazu, service-lokale Benutzerkonten selbst dann noch einer Person zuordnen zu können, wenn sich deren eduPersonPrincipalName einmal ändern sollte, z.B. durch Namensänderung, Heirat usw.
• Referenz: Shibboleth-Wiki, DFN-Dokumentation
• Werteanzahl: einer
• Beispiel: persistent-id: https://idp-test.uni-konstanz.de/idp2/shibboleth!https://bwidm-sp01.uni-konstanz.de/sp!NH/AJuow/mvpQztOrAiDJUGoXew=
• Notizen: Im Gegensatz zu den anderen in diesem Dokument vorgestellten Attributen wird die persistent ID nicht im lokalen IDM für eine Person vorgehalten, sondern vom shibboleth Identity Provider nach Bedarf generiert. Dieses Attribut stellt somit eine Anforderung an die technische Realisierung des Identity Providers und nicht an die lokale Datenhaltung. Die persistent ID hat die Form eines Triplets mit dem Format „<Name für die Quelle des Identifiers>!<Name für den beabsichtigten Empfänger des Identifiers>!<anonymisierter identifier für den Principal>“. Sie ist also für die Kombination aus Person-Identity Provider-Service Provider eindeutig.